تست نفوذ
استفاده از شبکههاي کامپيوتري علاوه بر امکانات و تسهيلاتي که در اختيار سازمانها قرار ميدهد آنان را در معرض مشکلات و خطراتي نيز قرار مي دهد. اين خطرات و مشکلات هنگامي شبکهها را در معرض خطر قرار ميدهد که شبکهها از طراحي و پیاده سازی صحيح ایمني برخوردار نباشند. بدين ترتيب اين شبکهها راهی را براي هکرها و کلیه تهدیدات باز ميگذارند. و با هک شدن شبکهها يا با آلوده شدن آنها به بد افزار هاي مختلف ضررهاي جبران ناپذيري به شبکه وارد ميشود. بنابراين ايجاد امنيت از طريق طراحي صحيح و پیکربندی مناسب يک شبکه اولين اولويت براي هر طراح شبکه مي باشد.
نفوذ كردن به شبكه هاي كامپيوتري و دسترسي به منابع يك شبكه، در حالت معمول، امري غير قانوني تلقي مي شود. اما يك متخصص امنيت، با بستن قراردادي با صاحبان و مديران شبكه و يا يك نرم افزار ، علاوه بر قانوني كردن آن، نتايج آن را به نفع شما باز مي گرداند. او از ديد يك هكر به برنامه يا شبكه شما نگريسته و تلاش مي كند تا كليه مشكلات و شكافهاي امنيتي آن را شناسايي و به شما ارائه دهد. در راستاي ارزيابي و يافتن نقاط ضعف امنيتي موجود، از روشهاي مختلف تست نفوذ پذيري استفاده ميگردد. در اين تستها با استفاده از تكنيك هاي نفوذ، يك حمله واقعي را شبيه سازي ميشود تا به اين وسيله سطح امنيت يك شبكه يا سيستم را مشخص كنند. اين امر به يك سازمان كمك مي كند تا در زمينه تشخيص، توانايي پاسخ و تصميم مناسب در زمان بحرانی، بر روي امنيت شبكه خود يك ارزيابي واقعي داشته باشد. نتيجه اين تست يك گزارش محرمانه مي باشد كه براي اجرايي شدن و بازرسي هاي تكنيكي مورد استفاده قرار مي گيرد.
چرا باید عملیات تست نفوذ انجام شود؟
بوسیله تست نفوذ می توانید حفره های امنیتی را کشف نمایید. این حملات می تواند بر پایه حملات فنی و Script Base و یا حملات بر پایه منابع انسانی و Human Base در شبکه صورت گیرد. به طور کلی تست نفوذ در موارد زیر را به همراه خواهد داشت :
- شناسایی تهدیداتی که اطلاعات شما را تهدید می نماید.- اطمينان از ايمني در مقابل آخرين آسيبپذيري ها
- کاهش هزینه های فناوری سازمان/شرکت از طریف شناسایی آسیب پذیری ها و نقاط ضعف
- ارزیابی سیستم های امنیتی که نصب کرده اید از قبیل فایروال ها، روترها و وب سرورها
- كاهش هزينه هاي ترميم، با كاهش مخاطرات نفوذ مهاجمان
- برنامه ریزی مناسب و مبتنی بر واقعیت برای خرید های نرم افزاری و سخت افزار و طراحی های شبکه
- اطمينان از صحت پيكربندي امنيتي سيستم ها
- اطمينان از به روز بودن سيستم ها و رايانه ها
- يافتن نقاط ضعف، پيش از سوء استفاده مهاجمان از آنها
- تأیید امنیت فناوری و اطلاعات سازمان توسط شخص سوم، خارج از سازمان
تست نفوذپذيري به سه روش مختلف قابل اجرا مي باشد:
Black Box Test : در اين روش كارشناسان تست نفوذ بدون هيچگونه اطلاعاتي از شبکه، اقدام به تست مينمايند و دقیقا مانند یک هکر که هیچ دیدی از سازمان ندارد عمل میکند.
White Box Test : در اين روش كارشناسان تست نفوذ با اطلاعاتي کامل از شبکه و زيرساختهاي موجود، اقدام به تست نفوذ مينمايند.
Gray Box or Crystal Box Test : در اين روش كارشناسان تست نفوذ به مانند يك كارمند سازمان، حق دسترسي به منابعي كه بقيه كاركنان هم ميتوانند دسترسي داشته باشند دسترسي دارد و با اين نوع دسترسي اقدام به ارائه تست مينمايد.
چنانچه استراتژی BlackBox انتخاب شده باشد، عملیات تست از جهات مختلف بسیار محدود می شود و ممکن است حتی اطلاعاتی از قبیل آدرس سازمان ، نام افراد ، نوع خدمات و... نیز در اختیار وی قرار نمی گیرد.
گروه امنیتی گلوب سایبر جهت انجام تست نفوذ پذيري قابلیت استفاده از کلیه روشهای موجود را دارا می باشد و طبق استانداردهای OWASPو OSSTMM و متدهای SANS عمل میکند، بدين ترتيب که کارفرما با در اختيار قراردادن اطلاعات مورد نیاز بر اساس روش توافق شده، مراحل زیر بر اساس نیاز اجرا میشود:
مهندسی اجتماعی
جمع آوری اطلاعات
پيمايش و بازديد از شبكه
مروركردن وضعيت پورت ها
مشخصات نرم افزاري سيستم ها
معماری شبکه
معماری سیستم ها
پويش در زمينه سرويس ها
تست شبكه در مقابل آسيب پذيري ها
استفاده از اكسپلويت هاي موجود و مقاومت سيستم ها
تست برنامههاي کاربردي
پیدا کردن آسیب پذیری در برنامه های کاربردی
گرفتن دسترسی
تست حملات تكذيب سرويس
ارزيابي امنيتي شبكه هاي بيسيم
بررسي دسترسي هاي از راه دور
تست نفوذپذيري روترها و تجهيزات برقرارکننده ارتباطات
تست نفوذپذيري تجهيزات و نرمافزارهاي امنيتي شامل: WAF, UTM, Firewall ، IDS/IDP/IPS
تست نفوذپذيري بانک اطلاعاتي و...
در پايان با توجه به اطلاعات جمع آوري شده از مراحل تست، گزارشات تست تهيه و تدوين ميگردد و وضعيت شبکه با توجه به آيتمهاي عنوان شده تعيين ميگردد. بدين ترتيب که وضعيت ريسک هر آيتم ارزيابي و مشخص ميگردد و در نهايت با توجه ارزيابيهاي صورت گرفته وضعيت کلي شبکه و سیستم ها مشخص ميگردد
لازم به ذکر است کلیه ابزارهای که در طول پروژه از آنها استفاده می شود ابزارهای استاندارد بوده و به هیچ عنوان آسیبی به سیستم ها وارد نخواهد نکرد .
همچنین نحوه برآورد هزینه و زمان آزمون نفوذکاملاً وابسته به حجم پروژه، نیازهای کارفرما و زمان مورد نیاز برای پروژه می باشد که پس از جلسه توجیهی فنی ما بین کارفرما و مجری قابل محاسبه و ارائه خواهد بود.